NFSユーザに許可するグループIDの数を設定する
変更を提案
PDF
ONTAPでは、Kerberos(RPCSEC_GSS)認証を使用してNFSユーザクレデンシャルを処理する場合、デフォルトで最大32個のグループIDがサポートされます。AUTH_SYS認証を使用する場合、RFC 5531で定義されているように、グループIDのデフォルトの最大数は16です。デフォルト数を超えるグループに属しているユーザがいる場合は、この最大数を 1 、 024 まで増やすことができます。
デフォルト数を超えるグループIDがクレデンシャルに設定されている場合、残りのグループIDは切り捨てられ、ストレージシステムのファイルにアクセスしようとするとエラーが表示されることがあります。SVMあたりのグループの最大数は、環境内の最大グループ数に相当する数に設定する必要があります。
|
拡張グループを有効にするためのAUTH_SYS認証の前提条件を理解するには(-auth-sys-extended-groups、次のナレッジベースの記事を参照してください。 "AUTH_SYS拡張グループによるONTAP 9のNFS認証の変更"
|
次の表に、グループIDの最大数を決定するコマンドの2つのパラメータを3つの設定例で示し `vserver nfs modify`ます。
パラメータ |
設定 |
結果として得られるグループ ID の上限数 |
|
これらはデフォルト設定です。 |
RPCSEC_GSS:32 AUTH_SYS:16 |
|
|
RPCSEC_GSS:256 AUTH_SYS:16 |
|
|
RPCSEC_GSS:512 AUTH_SYS:512 |
-
権限レベルをadvancedに設定します。
set -privilege advanced -
必要な操作を実行します。
許可される補助グループの最大数の設定対象
入力するコマンド
RPCSEC_GSSの場合のみ、AUTH_SYSはデフォルト値の16のままにします。
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups disabledRPCSEC_GSSとAUTH_SYSの両方
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups enabled -
値を確認し
-extended-groups-limit、拡張グループがAUTH_SYSで使用されているかどうかを確認します。vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit -
admin権限レベルに戻ります。
set -privilege admin
次に、AUTH_SYS認証の拡張グループを有効にし、AUTH_SYS認証とRPCSEC_GSS認証の両方で拡張グループの最大数を512に設定する例を示します。これらの変更は、vs1というSVMにアクセスするクライアントに対してのみ行われます。
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use
them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512
vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limit
vserver auth-sys-extended-groups extended-groups-limit
------- ------------------------ ---------------------
vs1 enabled 512
vs1::*> set -privilege admin